事件概览
近期,Trust Wallet 浏览器扩展 v2.68 被曝遭遇供应链攻击,攻击者疑似在开发者设备或代码仓库层面取得控制权,将恶意代码与 PostHog 相关脚本一并植入正式发布版本,并通过浏览器扩展的自动更新机制快速触达用户终端。根据 Binance 创始人 CZ 的公开信息,目前初步估算的被盗资产规模约为 700 万美元;安全机构派盾则监测到超过 600 万美元资产被盗,其中约 400 万美元已被转入中心化交易所,统计口径与追踪范围存在差异,导致损失数字呈现出一定区间。表面上,Trust Wallet 作为去中心化钱包,向用户承诺的是“私钥自托管、资产掌握在自己手中”,但此次事件暴露出其中心化开发与发布链路一旦被攻破,用户本地的安全边界就会被远程篡改,形成根本性矛盾。本文将围绕四个层面展开:先梳理当前已知的损失与数据,其次勾勒攻击链路的高层机理,再讨论用户侧的风险与防护操作,最后评估对行业长期安全叙事与基础设施治理的影响。
攻击链路
从目前公开信息看,本次事件属于典型的供应链攻击:攻击者并非直接从单个用户入手,而是通过更高一层的开发与分发环节入侵。具体而言,攻击者疑似先获取了 Trust Wallet 浏览器扩展相关的开发者设备权限,或渗透至代码仓库与构建环境,在源代码或构建产物阶段插入恶意逻辑与 PostHog JS 脚本,然后再将携带后门的 v2.68 版本提交到浏览器扩展商店并推送给用户。关于 PostHog JS 的具体作用机制、恶意代码的精确实现路径,目前尚无完整的官方技术披露,相关细节仍处于待验证阶段,公开讨论多以高层描述为主,而安全机构也避免就尚未证实的技术细节做过度推演。在事实边界内,可以确定的是,浏览器扩展具备自动更新与静默替换特性,用户往往不会逐个审查新版本权限或差异,一旦发布链路被攻破,恶意版本就能在极短时间内覆盖大量安装量,这种“单点失误—大范围扩散”的放大效应,正是供应链攻击对于钱包这类基础设施杀伤力巨大的关键原因。
资金损失
在损失规模上,市场上目前主要流传两组权威数据。CZ 根据内部与社区反馈给出的说法是,整体被盗金额约在 700 万美元左右,属于较为粗略的损失估算;而派盾通过链上监测标记出超 600 万美元可确认盗取资产,其中约 400 万美元已经被转移至多个中心化交易所账户,这表明统计口径上,CZ 可能覆盖了更广泛的地址样本或潜在尚未完成链上变现的资金,而派盾则更聚焦于链上可追踪到的具体流向。派盾披露的 600 万+ 与 400 万美元入 CEX 的结构,一方面为后续交易所配合冻结与追赃提供了重要锚点,另一方面也说明攻击者并未完全依赖去中心化洗钱路径,而是选择了相对高风险但流动性更好的中心化通道。更极端的个案是,有单一地址在 Hyperliquid 上开设 40 倍杠杆空单,随后因钱包被控导致保证金与资产被恶意转移,从而在短时间内被强平约 160 枚 BTC,按当前价格粗略估算约 1414 万美元,这种连锁反应表明,一次钱包层面的安全事故,可能通过清算、爆仓等机制,把原本数百万美元的直接盗窃,放大为数倍的衍生损失。随着更多资金被识别为“脏币”并流入 CEX,平台将面临更高的合规审查与冻结协查压力,需要在保护无辜用户与封堵黑客资金之间找到平衡,也将倒逼交易所在监控与黑名单共享机制上进一步升级。
安全承诺撕裂
从产品定位来看,Trust Wallet 这类去中心化钱包对用户做出的核心承诺,是私钥与助记词完全掌握在用户本地设备,项目方无法代为保管或调动资产,用户因此享有高度的主权与隐私,安全边界似乎天然稳定在“本机”。然而,此次供应链攻击证明,只要开发与发布环节依旧是高度中心化、少数人可控的单点,一旦该环节被黑客渗透,用户端运行的就不再是原本受信任的钱包逻辑,而是被篡改后代码,在用户毫无察觉的情况下改写交易路径甚至签名内容,原有“自托管=安全”的叙事被直接撕裂。CZ 在回应中表示,“团队仍在调查黑客如何成功提交并发布新版本”,这一表态实际上将矛头指向工程与安全管理流程:代码审核、构建签名、发布审批是否存在人治化运作、凭证泄露或权限过于集中等问题。更具争议的是,据社区反馈,即便在修复版本中,PostHog 相关脚本仍被保留,围绕“为产品分析而嵌入数据采集 SDK”是否违背安全最小化原则的讨论愈演愈烈。对于去中心化钱包而言,即便这些脚本在设计上不触及敏感隐私,只要其更新、上报与运行逻辑不完全透明,就会与用户对“极简、纯净、安全”的预期形成结构性冲突,成为新的信任裂痕来源。
用户防护
在用户防护层面,安全机构慢雾研究员 23pds 提出的操作建议得到广泛引用:对于怀疑受影响的钱包,用户在处理助记词时应“先断网再导出助记词”,即在完全离线环境中导出并记录助记词或私钥,避免在联网状态下打开可能含有恶意代码的钱包界面,以防扩展在后台发起未授权请求或实时窃取导出的敏感信息。这一做法尤其适用于已安装了 v2.68 或不确定版本安全性的用户。具体操作路径上,用户可以按优先级执行:
• 首先识别当前浏览器扩展版本,若为 v2.68 或更新时间与事件窗口高度重合,应立即停止在该扩展中进行任何签名与转账操作;
• 其次通过断网导出助记词,将资产迁移至新的、安全环境下的钱包(可以是全新安装的移动端钱包、冷钱包或硬件钱包);
• 再次,清理浏览器扩展、检查各类 DApp 授权,重点关注高额度或无限授权,必要时通过链上工具或官方界面逐一撤销;
• 最后,在资产迁移后持续监控地址资金变化与异常授权记录,必要时配合安全团队的信息收集。与浏览器扩展相比,移动端钱包与硬件钱包的攻击面不同,前者更多面临系统层恶意 App 与网络钓鱼,后者则依赖物理隔离与专用芯片,在供应链安全与固件签名上反而更为成熟。事件也提醒投资者,应构建“冷热分层、多钱包隔离”架构:日常小额资金使用浏览器或移动端钱包,大额长期持仓放置在硬件钱包中,减少单一入口被攻破时的整体损失。对行业而言,用户教育也需要从“提醒防钓鱼链接”升级到“强调更新策略与权限管理”,例如关闭自动更新、审慎添加扩展、定期审查授权等同样应成为基础安全常识的一部分。
行业启示
将本次事件放入更长时间维度来看,它并非孤立个案,而是加密基础设施在与传统软件行业相同的供应链攻击周期中前进的一个节点。传统互联网领域早已出现多起典型事件:从构建服务器被入侵、到依赖库被恶意维护者接管,再到发行渠道证书被盗用,核心共同点都是攻击者绕过终端用户的防御,直接在“上游”篡改可信组件。对于以浏览器扩展形态存在的钱包产品而言,这类风险尤为突出,工程侧的改进方向也愈加清晰:一方面需要强化代码审计与构建流程的可验证性,引入多重签名或多方审批机制,对关键发布版本进行独立团队复核和自动化差异检测;另一方面,在签名与发布环节实施更严格的分权策略,将开发、构建、签名、上架等权限拆分给不同角色乃至不同组织,并预置紧急回滚机制,一旦发现恶意版本,可以在短时间内从浏览器商店下架并强制推送安全版本。此外,交易所与其他基础设施提供方也被动卷入此次事件:随着约 400 万美元资金被识别流入 CEX,它们需要更完善的链上监控、黑名单同步以及跨平台冻结协作机制,同时在事件曝光时承担起信息披露与风控反馈责任,减轻用户不确定感。最后,本次事件再次凸显第三方 SDK 与脚本(如 PostHog)带来的依赖风险:任何外部组件一旦在更新链路或数据策略上出现偏差,都会成为攻击或信任危机的入口。对钱包等高敏感度应用而言,减少外部依赖、严格控制权限范围、确保所有关键逻辑在可审计的自有代码中完成,将是未来工程治理的基本要求。
展望与警示
此次 Trust Wallet 浏览器扩展供应链攻击,对去中心化钱包“安全、自托管”的核心叙事造成了实质性冲击:用户发现,即使私钥从未离开本地设备,只要运行的钱包代码被源头篡改,资产同样可以在他们不知情的情况下被转走,这暴露出的不是单一漏洞,而是长期被忽视的结构性风险。短期内,Trust Wallet 品牌势必承受信任折价,部分高净值与机构用户可能选择将主要资产迁移至硬件钱包或竞品解决方案,浏览器扩展的新增安装与活跃度也可能出现明显下滑,相应流量将被其他强调安全治理与透明发布流程的钱包项目分流。从更宏观的角度看,监管与行业自律有望在钱包扩展、安全审计与供应链合规上迎来强化周期:一方面,监管机构可能要求主流钱包、浏览器扩展与交易所遵守更严格的软件供应链安全标准,引入强制性审计与事件披露规范;另一方面,行业组织与安全社区也会推动形成更成熟的开源审计、签名验证与事件响应流程,使用户能够更容易识别版本风险。对于普通投资者而言,最重要的经验教训可以概括为三点:
• 构建多层钱包架构,将大额长期资产隔离在硬件或冷钱包中,降低单点故障带来的系统性损失;
• 在更新与权限管理上保持审慎,关闭不必要的自动更新,定期审查扩展和 DApp 的授权范围;
• 密切关注官方公告与权威安全机构的实时通告,在事件发生早期迅速完成资产迁移与风险隔离。只有在个人安全实践与行业工程治理同步升级的前提下,去中心化资产托管的承诺才有可能重新获得信任支撑。
加入我们的社区,一起来讨论,一起变得更强吧!
官方电报(Telegram)社群:https://t.me/aicoincn
AiCoin中文推特:https://x.com/AiCoinzh
OKX 福利群:https://aicoin.com/link/chat?cid=l61eM4owQ
币安福利群:https://aicoin.com/link/chat?cid=ynr7d1P6Z
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
